Revolver Rabbit: армия из 500 000 доменов охотится за вашими данными

Исследователи из компании Infoblox обнаружили киберпреступную группировку Revolver Rabbit, зарегистрировавшую более полумиллиона доменных имён для вредоносных кампаний по краже данных, нацеленных на системы Windows и macOS. Эта группа использует алгоритмы генерации зарегистрированных доменов ( RDGA ), что позволяет автоматически регистрировать множество доменных имён в кратчайшие сроки.

RDGA напоминают алгоритмы регистрации доменов ( DGA ), которые киберпреступники внедряют во вредоносное ПО для создания списка потенциальных C2 -серверов. Однако, в отличие от DGA, где злоумышленники регистрируют лишь некоторые домены для обмена командами, в случае с RDGA регистрируются абсолютно все домены.

Вредоносное ПО, распространяемое хакерами Revolver Rabbit, известно как XLoader и является преемником Formbook. Это ПО нацелено на системы Windows и macOS для сбора конфиденциальной информации или выполнения вредоносных файлов.

Рене Бертон, вице-президент по аналитике угроз в Infoblox, отметила, что домены в зоне .BOND, связанные с Revolver Rabbit, легко обнаружить, однако группа зарегистрировала сотни тысяч доменов на различных TLD . Такое громадное количество, разумеется, резко затрудняет анализ.

Учитывая стоимость домена .BOND в размере около 2 долларов, инвестиции Revolver Rabbit в операцию XLoader составляют порядка миллиона долларов, не учитывая прошлые покупки или домены на других TLD.

Типичный шаблон RDGA, используемый этой группой, включает один или несколько слов из словаря, за которыми следует пятизначное число, причём каждое слово или число разделяются дефисом. Эти домены легко читаемы и часто сфокусированы на определённых темах или регионах, например:

• usa-online-degree-29o[.]bond
• bra-portable-air-conditioner-9o[.]bond
• uk-river-cruises-8n[.]bond
• ai-courses-17621[.]bond
• app-software-development-training-52686[.]bond

Вредоносные операции с использованием RDGA включают доставку вредоносного ПО, фишинг, спам-кампании и мошенничество, а также перенаправление трафика на вредоносные ресурсы через системы распределения трафика.

Специалисты Infoblox отслеживают группировку Revolver Rabbit уже почти год, однако использование RDGA скрывало цели злоумышленников до недавнего времени. Кампании этой группы наблюдались и ранее, но их масштаб не был очевиден.

Современные хакерские группировки инвестируют миллионы долларов в свои операции, используют передовые алгоритмы и автоматизированные системы для обхода защиты. Это подчёркивает критическую важность постоянного совершенствования методов кибербезопасности и необходимость глобального сотрудничества в борьбе с цифровыми угрозами, способными затронуть любого пользователя или организацию.